Asegurabilidad de riesgos cibernéticos | Mundo asegurador

José Luis Vega Meza 
ABOGADO
Especializado en Seguros y Reaseguros
[email protected]

En materia de ciber seguridad existen dos clases de empresas… Recientemente tuve la oportunidad de compartir con mis colegas abogados de seguros una conferencia en Bogotá organizada por Insuralex, Global Insurance Lawyers Group (www.insuralex.com) conjuntamente con el Estudio Brigard & Urrutia sobre “riesgos cibernéticos y su asegurabilidad” en la que han participado numerosos jugadores del mercado de reaseguros radicados en la bellísima capital de Colombia. }
En dicha conferencia, se leía un tópico: “existen solamente dos tipos de compañías: las que saben que fueron hackeadas y las que aún no lo saben”. Distante de lo que leía, me parecía que ello era una realidad que ocurre ciertamente en Europa, Estados Unidos y otras zonas de países más desarrollados… y, ¿en Paraguay…? Esto me motivó a indagar más sobre el tema.

Precisamente, datos estadísticos publicados en internet por la empresa ESET (ESET Security Report 2018) respecto del mercado latinoamericano, revela que, durante el 2017, el Paraguay ha registrado el 13% de ataques por malwares del universo de ataques sufridos en Latinoamérica.
Al momento de escribir este artículo, la publicación en el sitio web www.cybermap. kaspersky.com/ revela que nuestro país lleva la estadística de ser el #94 de los países que sufren ataques cibernéticos de diferente índole a nivel mundial.

Algunos casos que tuvieron mucha difusión fueron el ataque que sufriera el diario ABC Color en julio del año 2017, la Presidencia de la República y algunos bancos de plaza sobre fraude con tarjetas de crédito y/o débito. Otros ataques a diferentes empresas privadas y públicas se han perpetrado cuales, por diversas razones, no han sido divulgados al conocimiento público.

Durante el mes de octubre de 2018 un cliente en Asunción, cuyo nombre me reservo, sufrió un ataque por hackers que se aprovecharon de un “plug in” desfasado por falta de actualización que permitió el acceso desde un punto remoto desde una IP de Sudáfrica para apropiarse de toda la información contenida en el sitio web. Si bien los datos considerados como “valiosos” no se vieron comprometidos ante

dicho ataque, el evento referido implicó que se apropiaran de datos personales de los integrantes de dicha empresa que, si bien no reportaron daños económicos, sufrieron la apropiación de sus datos personales, cuentas de correo electrónico y luego fueron sujetos de amenazas extorsivas de divulgación de información de contenido falso, intimando al pago de una “compensación” en bitcoins que nunca se dio. Sin embargo, la amenaza está muy presente en el directorio que motivó una inversión en seguridad de la información, la cual no garantiza en absoluto que el evento no se repita… El riesgo así planteado, sigue latente…

El mundo digitalizado que estamos viviendo en virtud de la conectividad, cada día más necesaria, ofrece un panorama muy apetecible para cualquier delincuente informático que quiera o pueda generar un ataque, sin importar el tamaño de la empresa “target” y afecta cada vez más a las medianas y pequeñas empresas. Los riesgos se han incrementado y tienen connotaciones complejas en virtud a la necesidad de conectividad con diferentes proveedores de bienes y servicios, lo cual genera un aumento a la exposición del riesgo en la seguridad de la información contenida. Latinoamérica se luce, precisamente, por su gran vulnerabilidad a los ataques cibernéticos por diferentes causas y cada día irá en crecimiento. Este panorama de la realidad me permite suponer que se generará una gran demanda de coberturas de seguros para mitigar los riesgos y daños que veremos a continuación.

2. Todo bien, pero ¿qué riesgos son cubiertos por una póliza de cyber? Se ha dicho que, en materia de riesgos cibernéticos, existe una Matriz que los entendidos coinciden en más o menos lo mismo. La Matriz lleva como siglas “PDRR”: Proteger, Detectar, Responder y Recuperar . Si bien los dos primeros componentes de la Matriz, Proteger y Detectar, son de alguna manera previsibles y necesarios para toda organización empresarial, lo que claramente supone para el empresario una inversión, el problema radica en CÓMO CUBRIRSE ante un evento o siniestro de ataque cibernético y del cual resulte un daño o potencial daño contra los terceros, clientes o no, de la empresa “target”. Es en este momento que toman preponderancia los dos últimos componentes de la mencionada Matriz: Responder y Recuperar. Ante una crisis de ataque cibernético, las respuestas necesarias para la mitigación del daño ocasionado por el mismo suponen una fuerte erogación para informar a los terceros afectados que sus datos personales y/o financieros fueron hurtados por terceros inescrupulosos y que pueden generar diversas consecuencias. Supone también gastos que pueden ser incuantificables en materia de Derecho de Daños a terceros: daños económicos directos e indirectos.

Ahora bien, la capacidad financiera del empresario puede resultar insuficiente para dar respuesta a sus clientes y usuarios ante un siniestro cibernético… pocos cuentan con un plan de contingencia y/o realizan una previsión contable para ello. Ni hablar de las consecuencias económicas que podría generar el secuestro o acceso impropio a información almacenada, considerada confidencial y protegida por el GDPR . Lo ideal sería poder trasladar a una Compañía de Seguros el riesgo que supone estos dos últimos componentes de la Matriz: “Responder y Recuperar”. Precisamente, existen Compañías de Seguros y Reaseguros tales como AIG, Chubb, Mapfre, Zurich, Munich Re, Berkley, Sancor, entre otras que han desarrollado o están desarrollando de manera muy sofisticada el amparo que el empresario está buscando para dar respuesta y poder “sobrevivir” ataques cibernéticos que pueden resultar devastadores.

Al indagar sobre cómo se describen los riesgos amparados en un producto de cyber, el mercado reasegurador en Colombia ofrece las siguientes coberturas:

a) A la organización: la pérdida financiera causada por

i. Gastos de respuesta a incidentes;

ii. Gastos generados por la extorsión cibernética;

iii. La pérdida de Activos Digitales;

iv. Los gastos generados por la interrupción del Negocio;

v. Conexidad con otras coberturas de responsabilidad civil (ej, D&O).

b) A terceros: la pérdida financiera causada por:

i. Violaciones a la privacidad;

ii. Seguridad de la red;

iii. Contenidos electrónicos.

c) Protección de datos personales: cobertura de responsabilidad por daños ocasionados con motivo de : a. Robo de identidad;

b. Cesión de datos sin consentimiento del cliente;

c. Información inexacta que genera daño;

d. Marketing no solicitado;

e. Vulneración de secretos comerciales y otros.

d) Asistencia técnica: análisis de vulnerabilidades (prevención como condición de cobertura, cargas al asegurado)

e) Servicios post siniestros:

i. Cobertura de gastos de notificación a los afectados;

ii. Gastos de recuperación de la “imagen” y del “daño reputacional en redes sociales”;

iii. Gastos en materia de recuperación de identidad. Por su parte, según Carlos Rodríguez¸ responsable de Cyber Edge de la aseguradora AIG en España , considera que un buen producto de seguro para riesgos cibernéticos debe contemplar los siguientes puntos:

a) Gestión de incidentes: cubre los honorarios de asesoría jurídica, informática forense y relaciones públicas al momento de mitigar un siniestro en materia de cyber.

b) Protección de datos y responsabilidad cibernética: comprende la indemnidad contra reclamos de terceros derivados de reclamos judiciales ocasionados por fallas en la seguridad informática.

c) Extorsión cibernética: otorga cobertura al asegurado ante las pérdidas ocasionadas con motivo o como consecuencia de una extorsión, incluyendo honorarios de los abogados especializados para la atención del evento.

d) Interrupción de la red o pérdida de beneficios: responde a la pérdida de ingresos y gastos operativos del asegurado cuando su actividad se interrumpe o suspende debido a un fallo en la seguridad en la red. Quizá esta sea uno de los componentes más valorados por los asegurados.

e) Fraude de transferencia de fondos: contempla una cobertura de la pérdida financiera resultante de transferencias electrónicas realizadas de manera fraudulenta tras un ciberataque.

f) Respuesta ante inspecciones y sanciones regulatorias, las cuales son derivadas de un uso indebido, control o proceso de datos personales. Todas estas coberturas, aunque aún no disponibles por ahora, podrían ser contratadas en el Paraguay, pues nuestra legislación permite la emisión de pólizas con riesgos específicos (Art. 10 y Art. 61 inc. h de la Ley de Seguros y Arts.4, 5 y 6 de la Resolución SS.SG. N°215/2017). Ciertamente, independientemente del cumplimiento de las regulaciones formales, este producto del mercado de seguros estaría totalmente vinculado tanto a la demanda del mercado local, así como a la disponibilidad de la cobertura de Reaseguro mediante la contratación de un reaseguro facultativo de naturaleza ciertamente compleja.
Al momento de la redacción del presente artículo, no tengo conocimiento sobre la existencia de un plan de seguro de ciber riesgos debidamente registrado, situación que me permito anticipar es coyuntural, pues claramente la tendencia al alza en la emisión de pólizas que amparan riegos cyber en el mercado internacional afectará sin dudas, a nuestro país y la demanda creciente aterrizará tarde o temprano al Paraguay. No obstante, bien puedo mencionar que existen coberturas contra fraudes al amparo de ciertas pólizas integrales de bancos vinculadas a las llamadas Líneas Financieras. Finalmente, para concluir dejo al lector los siguientes planteamientos: Si la información es poder y si la información supone riesgos… la INFORMACIÓN = RIESGO. Su empresa, ¿en qué clase se ubica? ¿Entre las que fueron hackeadas o las que todavía no lo saben…?

También podría gustarte